Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Regla de notificación de AD FS y configuración de SAML
ActiveDirectory Regla de notificación de Federation Services (AD FS) y configuración de SAML para AWS Managed Services (AMS)
Para step-by-step obtener instrucciones detalladas sobre cómo instalar y configurar AD FS, consulte [Habilitar la federación en AWS mediante Windows Active Directory, ADFS y SAML 2.0.](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
## Configuraciones de reglas de reclamación de ADFS
Si ya tiene una implementación de ADFS, configure lo siguiente:
+ Confiar en la confianza de una
+ Normas de reclamación
Las normas de confianza y reclamaciones de la parte que confía se llevan a cabo desde [Habilitar la federación hasta AWS con Windows Active Directory, AD FS y SAML 2.0 blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ Reglas de reclamaciones:
+ **Nameid**: configuración por publicación de blog
+ **RoleSessionName**: Configure de la siguiente manera
+ **Nombre de la regla de reclamación**: **RoleSessionName**
+ **Almacén de atributos**: **Active Directory**
+ **Atributo de LDAP**: **SAM-Account-Name**
+ Tipo de **reclamación saliente**: **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
+ **Obtenga grupos de AD**: configuración por publicación de [blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ **Afirmación de rol**: configure de la siguiente manera
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
```
```
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
```
## Consola web
Puede acceder a la consola web de AWS mediante el siguiente enlace y sustituirla {{[ADFS-FQDN]}} por el FQDN de su implementación de ADFS.
https://.aspx {{[ADFS-FQDN]}} adfs/ls/IdpInitiatedSignOn
Su departamento de TI puede implementar el enlace anterior entre la población de usuarios mediante una política de grupo.
## Acceso a API y CLI con SAML
Cómo configurar el acceso a la API y a la CLI con SAML.
Los paquetes de Python provienen de las siguientes publicaciones de blog:
+ NTLM: [Cómo implementar el acceso federado a la API y a la CLI mediante SAML](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) 2.0 y AD FS
+ Formularios: [cómo implementar una solución general para el acceso API/CLI federado mediante SAML](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/) 2.0
+ PowerShell: [Cómo configurar el acceso de la API federada a AWS mediante Windows PowerShell](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/)
### Configuración de scripts
1. Con Notepad\+\+, cambie la región predeterminada a la región correcta
1. Con Notepad\+\+, deshabilite la verificación SSL para los entornos de prueba y desarrollo
1. Con Notepad\+\+, configure idpentryurl
`https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`
### Configuración de Windows
Las instrucciones que aparecen a continuación son para los paquetes de python. Las credenciales generadas serán válidas durante 1 hora.
1. [Descargue e instale python (2.7.11)](https://www.python.org/downloads/)
1. [Descargar e instalar las herramientas de AWS CLI](https://aws.amazon.com/cli/)
1. Instale la CLI de AMS:
1. Descargue el archivo zip distribuible de AMS proporcionado por su administrador de prestación de servicios en la nube (CSDM) y descomprímalo.
Hay varios directorios y archivos disponibles.
1. Abra el directorio **Managed Cloud Distributables -> CLI -> Windows** o **Managed Cloud Distributables -> CLI -> Linux/macOS**, según su sistema operativo, y:
Para **Windows**, ejecute el instalador adecuado (este método solo funciona en sistemas Windows de 32 o 64 bits):
+ 32 bits: ManagedCloud API\_x86.msi
+ 64 bits: ManagedCloud API\_x64.msi
**Para **Mac/Linux**, ejecute el archivo denominado: MC\_CLI.sh.** Puede hacerlo ejecutando este comando:. `sh MC_CLI.sh` **Tenga en cuenta que los directorios **amscm** y **amsskms** y su contenido deben estar en el mismo directorio que el archivo MC\_CLI.sh.**
1. Si sus credenciales corporativas se utilizan mediante la federación con AWS (la configuración predeterminada de AMS), debe instalar una herramienta de administración de credenciales que pueda acceder a su servicio de federación. Por ejemplo, puede utilizar este blog de seguridad de AWS [sobre cómo implementar el acceso federado a las API y CLI mediante SAML 2.0 y AD FS como](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) ayuda para configurar sus herramientas de administración de credenciales.
1. Tras la instalación, ejecute `aws amscm help` y consulte los comandos y `aws amsskms help` las opciones.
1. Descargue el script de SAML necesario
Descárguelo en c:\\aws\\scripts
1. [Descargue PIP](https://bootstrap.pypa.io/get-pip.py)
Descárguelo a c:\\aws\\downloads
1. Utilizando PowerShell, instale PIP
. \\ python.exe c:\\aws\\downloads\\get -pip.py
1. Utilizando PowerShell, instale el módulo de arranque
Usando, instale el módulo boto ----sep----pip install boto
1. Uso e instalación PowerShell del módulo de solicitudes
Uso del módulo de solicitudes de instalación ----sep----pip install requests
1. Uso PowerShell e instalación del módulo de seguridad de solicitudes
Uso del módulo de seguridad de solicitudes de instalación ----sep----pip install requests [security]
1. Usando PowerShell, instale el módulo beautifulsoup
Usando, instale el módulo beautifulsoup ----sep----pip instale beautifulsoup4
1. Usando PowerShell, cree una carpeta llamada .aws en el perfil del usuario (%userprofile%\\ .aws)
mkdir .aws
1. Con PowerShell, cree un archivo de credenciales en la carpeta .aws
Archivo de credenciales de elemento nuevo: force
El archivo de credenciales no debe tener una extensión
El nombre del archivo debe estar todo en minúsculas y tener las credenciales del nombre
1. Abra el archivo de credenciales con el bloc de notas y pegue los siguientes datos, especificando la región correcta
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Utilice el PowerShell script SAML y el inicio de sesión
. \\ python.exe c:\\aws\\scripts\\samlapi.py
Nombre de usuario: [NOMBRE DE USUARIO] @upn
Elige el rol que te gustaría asumir
### Configuración de Linux
Las credenciales generadas serán válidas durante 1 hora.
1. Con WinSCP, transfiera el script SAML
1. Con WinSCP, transfiera el certificado de CA raíz (ignorarlo para pruebas y desarrollo)
1. Agregue la CA RAÍZ a los certificados raíz de confianza (omítala para pruebas y desarrollo)
$ openssl x509 -inform der -in [certname] .cer -out certificate.pem (ignorar para pruebas y desarrollo)
Añada el contenido de certificate.pem al final del archivo/-bundle.crt (ignore para desarrolladores de pruebas) etc/ssl/certs/ca
1. Cree la carpeta.aws en home/ec2-user 5
```
[default]
output = json
region = us-east-1
aws_access_key_id =
aws_secret_access_key =
```
1. Con WinSCP, transfiera el archivo de credenciales a la carpeta.aws
1. Instale el módulo de arranque
$ sudo pip install boto
1. Instale el módulo de solicitudes
Solicitudes de instalación de $ sudo pip
1. Instale el módulo beautifulsoup
$ sudo pip instala beautifulsoup4
1. Copie el script a home/ec2-user
Establezca los permisos necesarios
Ejecute el script: samlapi.py